Загрузка HDD 100% в логах безопасности системы "Вход в систему"

[GAS1979]

Лог приложил.

Постоянно пишет, что загрузка жеского диска 100%, хотя ни чего вроде не грузит его.
Посмотрел журнал безопасности системы, и там каждые 10-40 минут:

Аудит успеха 01.09.2015 14:59:52 Microsoft Windows security auditing. 4672 Специальный вход

Аудит успеха 01.09.2015 14:59:52 Microsoft Windows security auditing. 4624 Вход в систему

Аудит успеха 01.09.2015 14:42:10 Microsoft Windows security auditing. 4672 Специальный вход

Аудит успеха 01.09.2015 14:42:10 Microsoft Windows security auditing. 4624 Вход в систему

Аудит успеха 01.09.2015 14:04:01 Microsoft Windows security auditing. 4672 Специальный вход

Аудит успеха 01.09.2015 14:04:01 Microsoft Windows security auditing. 4624 Вход в систему

Аудит успеха 01.09.2015 14:02:50 Microsoft Windows security auditing. 4797 Управление учетными записями

Аудит успеха 01.09.2015 14:02:50 Microsoft Windows security auditing. 4797 Управление учетными записями

Аудит успеха 01.09.2015 14:02:50 Microsoft Windows security auditing. 4797 Управление учетными записями

Аудит успеха 01.09.2015 13:42:17 Microsoft Windows security auditing. 4672 Специальный вход

Аудит успеха 01.09.2015 13:42:17 Microsoft Windows security auditing. 4624 Вход в систему

Аудит успеха 01.09.2015 13:41:41 Microsoft Windows security auditing. 4672 Специальный вход

Аудит успеха 01.09.2015 13:41:41 Microsoft Windows security auditing. 4624 Вход в систему

Аудит успеха 01.09.2015 13:41:03 Microsoft Windows security auditing. 4672 Специальный вход

Аудит успеха 01.09.2015 13:41:03 Microsoft Windows security auditing. 4624 Вход в систему

Аудит успеха 01.09.2015 12:30:36 Microsoft Windows security auditing. 4672 Специальный вход

Аудит успеха 01.09.2015 12:30:36 Microsoft Windows security auditing. 4624 Вход в систему

Аудит успеха 01.09.2015 12:14:41 Microsoft Windows security auditing. 4672 Специальный вход

Аудит успеха 01.09.2015 12:14:41 Microsoft Windows security auditing. 4624 Вход в систему

 

С чем это может быть связано?

CollectionLog-2015.09.01-15.20.zip

[Sandor]

Здравствуйте!

 

 

Соберите, пожалуйста, логи этой версией Автологера.

[GAS1979]

Здравствуйте!

 

 

Соберите, пожалуйста, логи этой версией Автологера.

CollectionLog-2015.09.01-15.20.zip

[mike 1]

Вы старый лог прикрепили.

[GAS1979]

Вы старый лог прикрепили.

Извиняюсь

CollectionLog-2015.09.01-16.11.zip

[Sandor]

"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

O20 - AppInit_DLLs: ?????????

 

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

 

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

 

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\GAS\AppData\Roaming\Browsers\exe.emorhc.bat', '');
 QuarantineFile('C:\Users\GAS\AppData\Roaming\Browsers\exe.erolpxei.bat', '');
 DeleteFile('C:\Users\GAS\AppData\Roaming\Browsers\exe.emorhc.bat', '32');
 DeleteFile('C:\Users\GAS\AppData\Roaming\Browsers\exe.erolpxei.bat', '32');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.
 

 

 

 

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Файл CheckBrowserLnk.log

из папки

 

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

 

 

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.

 

 

 

Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.

Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.

Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s1].txt.

Прикрепите отчет к своему следующему сообщению.

 

Подробнее читайте в этом руководстве.

 

[GAS1979]

Все сделал по пунктам.

Пофиксил.

После выполнения скрипта в АВЗ, quarantine.zip - совершенно пустой.

Лог от ClearLNK прилагаю

Лог от AdwCleaner  прилагаю
 

AdwCleanerS2.txt

ClearLNK-02.09.2015_19-37.log

[Sandor]

Запустите повторно AdwCleaner (by Xplode) (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора),  нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.

Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C1].txt.

Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления потребуется перезагрузка компьютера!!!.

 

Подробнее читайте в этом руководстве.

 

 

Затем:

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочками также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

 

[GAS1979]

AdwCleaner - выполнил

FRST64 - выполнил

AdwCleanerC2.txt

Addition.txt

FRST.txt

Shortcut.txt

[Sandor]

• Пожалуйста, запустите adwcleaner.exe

• Нажмите Uninstall (Деинсталлировать).

• Подтвердите удаление, нажав кнопку: Да.

 

Подробнее читайте в этом руководстве.

 

 

Затем:

Создайте текстовый файл fixlist.txt в папке с Farbar Recovery Scan Tool, скопируйте в него текст из окна "код" ниже и сохраните.

start
CreateRestorePoint:
HKLM-x32\...\Run: [gmsd_ru_155] => [X]
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-1562998970-2830409731-1944277048-1001\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR StartupUrls: Default -> "hxxp://www.google.com/","hxxp://www.google.com","hxxp://isearch.omiga-plus.com/?type=hp&ts=1420110399&from=cor&uid=ST2000DM001-1CH164_Z34119GDXXXXZ34119GD","hxxp://mail.ru/cnt/10445?gp=openpart1","hxxp://www.mystartsearch.com/?type=hp&ts=1425808287&from=cmi&uid=ST2000DM001-1CH164_Z34119GDXXXXZ34119GD","hxxp://www.mystartsearch.com/?type=hppp&ts=1425808323&from=cmi&uid=ST2000DM001-1CH164_Z34119GDXXXXZ34119GD","hxxp://mail.ru/cnt/10445?gp=anvir5","hxxp://mail.ru/cnt/10445?gp=profitraf3"
OPR StartupUrls: "hxxp://www.yandex.ru/?win=158&clid=2139453-002",
         "hxxp://2knl.org/?src=hp4&subid1=feb",
         "hxxp://2knl.org/?src=hp4&subid1=feb"
OPR Extension: (Быстрый поиск) - C:\Users\GAS\AppData\Roaming\Opera Software\Opera Stable\Extensions\bdmjagdcpkfpebaaffpafncgkleijako [2015-03-08]
2015-03-08 13:49 - 2015-03-08 13:48 - 0628688 _____ (CMI Limited) C:\Users\GAS\AppData\Local\nso663F.tmp
2015-03-08 12:54 - 2015-03-08 12:54 - 0613255 _____ (CMI Limited) C:\Users\GAS\AppData\Local\nss4017.tmp
Task: {7772097E-B9AB-4134-AE5E-747478513375} - System32\Tasks\{96CBFF3F-05AC-4D61-8946-043FEEA85904} => pcalua.exe -a C:\Users\GAS\AppData\Roaming\omiga-plus\UninstallManager.exe -c  -ptid=cor <==== ATTENTION
Task: C:\Windows\Tasks\Uninstaller_SkipUac_GAS.job => C:\Program Files (x86)\IObit\IObit Uninstaller\IObitUninstaler.exe
AlternateDataStreams: C:\Users\GAS\SkyDrive:ms-properties
AlternateDataStreams: C:\Users\GAS\Desktop\Might and Magic: Heroes VII (32 Bit) [BETA 2].url
AlternateDataStreams: C:\Users\GAS\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Might and Magic: Heroes VII (32 Bit) [BETA 2].url
FirewallRules: [{6E5357C7-694B-48F9-A7E3-77ABBEB408E4}] => (Allow) C:\Users\GAS\AppData\Local\MediaGet2\mediaget.exe
FirewallRules: [{6C1EC91E-DE36-46CD-BABF-9F11713D8047}] => (Allow) C:\Users\GAS\AppData\Local\MediaGet2\mediaget.exe
EmptyTemp:
Reboot:
end

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Изменено 3 сентября, 2015 пользователем Sandor

[GAS1979]

Все сделал

Fixlog.txt

[Sandor]

Что с "загрузкой", упала?

[GAS1979]

Что с "загрузкой", упала?

По наблюдениям, да. Огромное спасибо.

Но вот что это за постоянные "Вход в систему", "Специальный вход", "Управление учетными данными".

Есть такое предположение, что это Микрософт пытается обновить винду до 10. У меня пока не пришло уведомление.

Но как то это напрягает, что кто то входит и выходит ко мне без моего ведома 

[Sandor]

 

 

что это за постоянные "Вход в систему"

Покажите скриншот.

[GAS1979]

 

что это за постоянные "Вход в систему"

Покажите скриншот.